Informazioni di riferimento sui modelli di criteri
Nota
Sono stati rinominati Microsoft Cloud App Security. Viene ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornate le schermate e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.
Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in un'unica posizione. In questo modo si semplificano i flussi di lavoro e si aggiungeranno le funzionalità degli altri servizi Microsoft 365 Defender. Microsoft 365 Defender sarà la sede principale per il monitoraggio e la gestione della sicurezza tra identità, dati, dispositivi, app e infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.
Questo articolo fornisce informazioni sui modelli di criteri inclusi in Microsoft Defender for Cloud Apps.
Modelli di criteri
È consigliabile iniziare la creazione dei criteri basandosi su un modello esistente quando possibile, per maggiore facilità. Questa tabella elenca i modelli di criteri presenti in Microsoft Defender for Cloud Apps.
| Categoria di rischio | Nome modello | Descrizione |
|---|---|---|
| Cloud Discovery | Anomalous behavior in discovered users (Comportamento anomalo per utenti individuati) | Genera un avviso quando viene rilevato un comportamento anomalo per gli utenti e le app individuati, ad esempio il caricamento di grandi quantità di dati rispetto ad altri utenti o transazioni utente di grandi dimensioni rispetto alla cronologia dell'utente stesso. |
| Cloud Discovery | Anomalous behavior of discovered IP addresses (Comportamento anomalo di indirizzi IP individuati) | Genera un avviso quando viene rilevato un comportamento anomalo per gli indirizzi IP e le app individuati, ad esempio il caricamento di grandi quantità di dati rispetto ad altri indirizzi IP o transazioni app di grandi dimensioni rispetto alla cronologia dell'indirizzo IP stesso. |
| Cloud Discovery | Collaboration app compliance check (Controllo conformità app collaborazione) | Genera un avviso quando vengono individuate nuove app per la collaborazione non conformi a SOC2 e SSAE 16, nonché usate da più di 50 utenti con un uso totale giornaliero superiore a 50 MB. |
| Cloud Discovery | Cloud storage app compliance check (Controllo conformità app archiviazione cloud) | Genera un avviso quando vengono individuate nuove app per l'archiviazione cloud non conformi a SOC2, SSAE 16, ISAE 3402 e PCI DSS, nonché usate da più di 50 utenti con un uso totale giornaliero superiore a 50 MB. |
| Cloud Discovery | CRM app compliance check (Controllo conformità app CRM) | Genera un avviso quando vengono individuate nuove app CRM non conformi a SOC2, SSAE 16, ISAE 3402, ISO 27001 e HIPAA, nonché usate da più di 50 utenti con un uso totale giornaliero superiore a 50 MB. |
| Cloud Discovery | New cloud storage app (Nuova app per archiviazione cloud) | Genera un avviso quando vengono individuate nuove app per l'archiviazione cloud usate da più di 50 utenti con un uso totale giornaliero superiore a 50 MB. |
| Cloud Discovery | New code hosting app (Nuova app che ospita codice) | Genera un avviso quando vengono individuate nuove app che ospitano codice usate da più di 50 utenti con un uso totale giornaliero superiore a 50 MB. |
| Cloud Discovery | New collaboration app (Nuova app per la collaborazione) | Genera un avviso quando vengono individuate nuove app per la collaborazione usate da più di 50 utenti con un uso totale giornaliero superiore a 50 MB. |
| Cloud Discovery | New CRM app (Nuova app CRM) | Genera un avviso in caso di individuazione di nuove app CRM usate da più di 50 utenti con un uso totale giornaliero superiore a 50 MB. |
| Cloud Discovery | New high volume app (Nuova app con volumi elevati) | Genera un avviso quando vengono individuate nuove app con un traffico giornaliero totale di più di 500 MB. |
| Cloud Discovery | New high upload volume app (Nuova app con volume caricamento elevato) | Genera un avviso quando vengono individuate nuove app con un traffico di caricamento giornaliero totale superiore a 500 MB. |
| Cloud Discovery | New Human-Resource Management app (Nuova app per la gestione delle risorse umane) | Genera un avviso quando vengono individuate nuove app per la gestione delle risorse umane usate da più di 50 utenti con un uso totale giornaliero superiore a 50 MB. |
| Cloud Discovery | New online meeting app (Nuova app per riunioni online) | Genera un avviso quando vengono individuate nuove app per riunioni online usate da più di 50 utenti con un uso totale giornaliero superiore a 50 MB. |
| Cloud Discovery | New popular app (Nuova app più richiesta) | Genera un avviso quando vengono individuate nuove app usate da più di 500 utenti. |
| Cloud Discovery | New risky app (Nuova app rischiosa) | Genera un avviso quando vengono individuate nuove app con punteggio di rischio inferiore a 6 e usate da più di 50 utenti con un uso totale giornaliero superiore a 50 MB. |
| Cloud Discovery | New sales app (Nuova app per le vendite) | Genera un avviso quando vengono individuate nuove app per la vendita usate da più di 50 utenti con un uso totale giornaliero superiore a 50 MB. |
| Cloud Discovery | New vendor management system apps (Nuove app per sistema di gestione fornitori) | Genera un avviso quando vengono individuate nuove app per sistema di gestione fornitori usate da più di 50 utenti con un uso totale giornaliero superiore a 50 MB. |
| DLP | Externally shared source code (Codice sorgente condiviso esternamente) | Genera un avviso quando un file contenente codice sorgente viene condiviso all'esterno dell'organizzazione. |
| DLP | File containing PCI detected in the cloud (built-in DLP engine) [File con informazioni su carte di pagamento rilevato nel cloud (motore DLP predefinito)] | Avvisa quando un file con informazioni sulla carta di pagamento (PCI) viene rilevato dal motore predefinito di prevenzione della perdita dei dati (DLP) Microsoft Defender for Cloud Apps in un'app cloud approvata. |
| DLP | File containing PHI detected in the cloud (built-in DLP engine) [File con informazioni sanitarie protette rilevato nel cloud (motore DLP predefinito)] | Avvisa quando un file con informazioni sanitarie protette (PHI) viene rilevato dal motore di prevenzione della perdita dei dati (DLP) predefinito Microsoft Defender for Cloud Apps in un'app cloud approvata. |
| DLP | File containing private information detected in the cloud (built-in DLP engine) [File con informazioni private rilevato nel cloud (motore DLP predefinito)] | Avvisa quando un file con dati personali viene rilevato dal motore di prevenzione della perdita dei dati (DLP) predefinito Microsoft Defender for Cloud Apps in un'app cloud approvata. |
| Rilevamento delle minacce | Administrative activity from a non-corporate IP address (Attività amministrativa da un indirizzo IP non aziendale) | Genera un avviso quando un utente amministratore esegue un'attività amministrativa da un indirizzo IP non incluso nella categoria degli intervalli di indirizzi IP aziendali. Configurare prima di tutto gli indirizzi IP tramite la pagina Impostazioni e impostando Intervalli di indirizzi IP. |
| Rilevamento delle minacce | Logon from a risky IP address (Accesso da indirizzo IP rischioso) | Genera un avviso quando un utente accede alle app approvate da un indirizzo IP rischioso. Per impostazione predefinita, la categoria degli indirizzi IP rischiosi contiene indirizzi IP con i tag Proxy anonimo, TOR o Botnet. È possibile aggiungere altri indirizzi IP a questa categoria nella pagina delle impostazioni degli intervalli di indirizzi IP. |
| Rilevamento delle minacce | Mass download by a single user (Download di massa da un singolo utente) | Genera un avviso quando un singolo utente esegue più di 50 download in 1 minuti. |
| Rilevamento delle minacce | Multiple failed user sign-in attempts to an app (Più tentativi di accesso non riusciti a un'app) | Genera un avviso quando un singolo utente tenta di accedere a una singola app, ma il tentativo non riesce più di 10 volte in 5 minuti. |
| Rilevamento delle minacce | Potenziale attività ransomware | Genera un avviso quando un utente carica nel cloud file potenzialmente infettati da ransomware. |
| Controllo della condivisione | File shared with personal email addresses (File condiviso con indirizzi di posta elettronica personali) | Avvisa quando un file viene condiviso con l'indirizzo di posta elettronica personale di un utente. |
| Controllo della condivisione | File shared with unauthorized domain (File condiviso con dominio non autorizzato) | Genera un avviso quando un file viene condiviso con un dominio non autorizzato (ad esempio, il dominio di un concorrente). |
| Controllo della condivisione | Shared digital certificates (file extensions) [Certificati digitali condivisi (estensioni file)] | Genera un avviso quando un file contenente certificati digitali viene condiviso pubblicamente. Usare questo modello per facilitare la gestione dell'archiviazione AWS. |
| Controllo della condivisione | Publicly accessible S3 buckets (AWS) [Bucket S3 accessibili pubblicamente (AWS)] | Genera un avviso quando un bucket S3 AWS è condiviso pubblicamente. |
| Controllo della condivisione | Stale externally shared files (File condivisi esternamente non aggiornati) | Avviso quando i file condivisi esternamente non sono stati modificati per almeno 6 mesi. |
Passaggi successivi
Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.